RE FORUM

[REVERSE ENGINEERING] => General Discussion => Topic started by: Conflict on May 07, 2007, 09:25:22 AM

Title: packer vs. AV
Post by: Conflict on May 07, 2007, 09:25:22 AM

zdar,
vsichni nejspis pouzivame nakej ten AV. Je mi jasny, ze vetsina asi NODa. Stalo se vam nekdy, ze by nemohl AV prozkoumat packovany .exe, dll, ...?

Title: Re: packer vs. AV
Post by: CZerezpiCZkin on May 07, 2007, 11:05:34 AM

AV ma niekedy problem s packermi - vtedy to riesi ozaj originalne, vypise hlasenie  (mam dojem, ze nieco v style 'probably packed') a tym to je vybavene... Tiez som si vsimol, ze k niektorym suborom nema pristup a ako dovod napise ze je vyzadovane heslo, co som nie velmi dobre pochopil, nakolko neviem ako v systeme je mozne nastavit heslo pre pristup len k niektoremu konkretnemu suboru (kniznici, ovladacu a pod.)

Title: Re: packer vs. AV
Post by: llAmElliK on May 07, 2007, 11:16:14 AM

Mne se NOD32 pravidelne maze jeden z packeru - ted si nezpomenu kterej a myslim ze ma problemy i s RDG packer detector - podle mne to je zpusobeny "injekci" kodu v danem .exe a neprirozenou PE Headers...

Title: Re: packer vs. AV
Post by: CZerezpiCZkin on May 07, 2007, 11:28:41 AM

2 llAmElliK:
Mas pravdu s tymi neprirodzenymy PE hlavickami a vsuvackami kodu. Pokial si dobre spominam, NOD sa mi isiel zblaznit, ked som nahodil CrackersKit na komp, pretoze tam je dost nastrojov s pochybnym pristupom k suborom a manipulaciou s nimi (pochybne z pohladu AV ochrany samozrejme).

Title: Re: packer vs. AV
Post by: llAmElliK on May 07, 2007, 11:35:44 AM

Ano, z pohledu AV je to v celku pochopitelne - AV ochrany se krom jineho zameruji na neprirozenou strukturu .exe souboru tolik specifickou pro viry - coz znamena klasicka strukura PE (velikosti ,spravne zacatky a soucty apod.) a samozrejmne od toho odvijejici se OEP.

Title: Re: packer vs. AV
Post by: eraser on May 07, 2007, 12:04:36 PM

Tie? pou?ívam NOD a niektoré dokumenty, resp. zapakované CMká alebo uká?ky pokročilých ASM techník musím pakovať v heslovaných archívoch. Problém tkvie najmä v heuristickej analýze a taktie? nie je vylúčená zhodná signatúra s nejakým známym vírusom.

Inak skú?ali ste niekto otestovať NOD na viacero typov packerov? Čo som si v?imol, tak UPX a FSG mu nerobia ?iadny problém a vie ich detekovať a túto skutočnosť i vypí?e.

Title: Re: packer vs. AV
Post by: DARKER on May 07, 2007, 06:54:21 PM

Jo NOD je asi na tom najlepsie co sa tyka analyzy packnutych exacov, krepy Norton si hocikedy po "blbom" update vzorky zmysli ze app ktoru uz 1000x kontroloval zo statusom OK - je virus a po inom dalsom update - ze uz je zase v poriadku :-)

Title: Re: packer vs. AV
Post by: Master on May 07, 2007, 08:26:20 PM

Ja mel predtim problem s NODem taky pri nejakych injectorech nebo tak.Ale celkove,antiviry moc nepouzivam,dela to jen bordel.Nastesti mi nic nesmazal,ale jen zablokoval treba pristup.

Title: Re: packer vs. AV
Post by: eraser on May 31, 2007, 08:36:39 AM

No, tak po včeraj?om update mi tupý McAfee hodil do karantény takmer v?etky packované a kryptované CMká. Samozrejme i AntiVictim.

A to nehovorím o tom, ?e to neviem vrátiť späť, keď?e nemám dostatočné právomoci. Proste, zasratí admini. A k tomu sa ka?dých 30 minút spú?ťa nejaký mini-scan, ktorý mi na 5 minút odstaví PC tak, ?e ani nemô?em napísať vetu do notepadu a v prípade, ?e pristupujem k súborom, tak som na tom obdobne. Výborný príklad, ako P4 degradovať na P3.